fastjson漏洞汇总学习
0x00 简介
Fastjson 是⼀个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 Java 对象,即使是⼀些预先存在的没有源码的对象。
Fastjson 源码地址:
Fastjson 中⽂ Wiki:spring framework高危漏洞
0x01 fastjson特性
提供服务器端、安卓客户端两种解析⼯具,性能表现较好。
提供了 toJSONString() 和 parseObject() ⽅法来将 Java 对象与 JSON 相互转换。调⽤toJSONString⽅法即可将对象转换成 JSON 字符串,parseObject ⽅法则反过来将 JSON 字符串转换成对象。
允许转换预先存在的⽆法修改的对象(只有class、⽆源代码)。
Java泛型的⼴泛⽀持。
允许对象的⾃定义表⽰、允许⾃定义序列化类。
⽀持任意复杂对象(具有深厚的继承层次和⼴泛使⽤的泛型类型)
0x02 fastjson1.2.24反序列化复现环境准备
JDK环境 Maven环境
攻击机:192.168.164.128

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。